¿Se puede forzar brutalmente el almacenamiento local de contraseñas de LastPass (en un dispositivo Android) de la forma habitual?

1

Estoy intentando averiguar qué tan seguro es LastPass si lo tienes en tu dispositivo Android y se lo roban. Si no me equivoco, tiene que haber un almacén de contraseñas almacenado en algún lugar del dispositivo.

¿Sería suficiente en ese caso para seguir intentando brutal forzar la contraseña de LastPass hasta que tenga éxito? ¿ esta respuesta mi pregunta?

¿Qué pasa con el uso de la autenticación de dos factores? ¿Eso lo haría más difícil (sin acceso a la autenticación de dos factores) en este caso?

    
pregunta danizmax 02.06.2016 - 10:03
fuente

1 respuesta

3

Hacer del ataque de fuerza bruta la única opción posible es una característica deseada de un sistema de seguridad.

Este "solo" significaría que no hay debilidades en el algoritmo o la implementación y que el sistema podría romperse solo al intentar todas las combinaciones de contraseñas posibles.

Además de asegurarse de que el ataque de fuerza bruta sea el único posible, también debería ser difícil de realizar.

En el caso de la base de datos de LastPass (un archivo cifrado, fuera de línea), las contramedidas son limitadas, pero tanto el diseño del sistema como el usuario tienen influencia sobre la efectividad de un ataque.

Primero: la base de datos está protegida con una clave derivada de una contraseña que usa PBKDF con un número específico de iteraciones, lo que aumenta el tiempo requerido para confirmar cada intento de conjetura.

Los usuarios deben establecer un número alto de iteraciones de PBKDF al punto en que puedan soportar el tiempo requerido para abrir la base de datos en sus dispositivos (esto puede variar para PC y dispositivos móviles).

Segundo: los usuarios deben usar contraseñas seguras para hacer que el ataque de fuerza bruta sea más difícil (posiblemente hasta el punto de la inviabilidad).

La autenticación de dos factores en LastPass no protege la base de datos de contraseñas, pero el acceso al servicio en línea que proporciona la base de datos de contraseñas del usuario cifrada.

Una vez que se descarga la base de datos, es un archivo cifrado estático y la autenticación de segundo factor no es necesaria para descifrarlo.

    
respondido por el techraf 02.06.2016 - 11:28
fuente

Lea otras preguntas en las etiquetas